Messenger / Kommunikation in der Szene – Eine realistische Einschätzung

Grundlagen Bibliothek

von lught · 11 Beiträge

lught OP · 2025-11-28 17:44 25 #78396

Ich sehe hier immer wieder Diskussionen über Messenger, die oft entweder technisch überladen oder unrealistisch sind. Deshalb hier mal eine sachliche Einschätzung aus der Praxis, die berücksichtigt, wie die Szene tatsächlich tickt. Die Realität: Telegram ist der Standard Lassen wir uns nichts vormachen: Der Großteil der Kommunikation läuft über Telegram. Das ist Fakt. Der Grund ist einfach: Es ist schnell, einfach und jeder ist darauf erreichbar. Man kann die Szene nicht davon überzeugen, auf Jabber oder Session umzusteigen, nur weil es theoretisch sicherer wäre. Das ist wishful thinking. Die Frage ist also nicht "Wie bekommen wir alle von Telegram weg?", sondern "Wie nutzt man das existierende System so sicher wie möglich, ohne die eigene Sicherheit zu ruinieren?". Telegram auf dem PC: Die pragmatische Lösung Die Nutzung von Telegram auf dem PC ist hier der entscheidende Punkt. Ein PC, insbesondere wenn er mit einer Linux-Distribution wie Tails oder Qubes OS läuft und über Tor verbunden wird, isoliert eure Aktivitäten weitgehend von eurer Person. Die Desktop-App von Telegram speichert standardmäßig weniger Metadaten auf dem Gerät und ihr könnt die Installation besser kontrollieren und absichern als auf einem Handy. Die goldene Regel dabei: Auf dem PC wird nur kommuniziert. Es werden keine Drop-Daten, Adressen, Lieferinformationen oder sonstige strafbare Inhalte über diesen Kanal geteilt. Telegram ist für die allgemeine Absprache und Koordination gedacht, nicht für den Austausch von belastenden Beweisen. Alles, was euch direkt mit einer Tat verbinden könnte, hat auf Telegram nichts zu suchen. Dafür gibt es andere, sicherere Kanäle. Die Alternative: Der "sichere" Kanal für sensible Daten Für alles, was wirklich wichtig ist – also der Austausch von Adressen, Lieferdetails oder anderen hochsensiblen Informationen – muss ein zweites, getrenntes System her. Hier kommt die technische Disziplin ins Spiel. Jabber (XMPP) mit OTR: Bleibt der Goldstandard. Keine Telefonnummern, keine zentralen Server, die man abkompagnieren könnte. Der Aufwand ist hoch, aber für die wirklich wichtigen Dinge unvermeidbar. Session: Eine gute Alternative. Keine Registrierung per Nummer, Metadaten-Schutz durch das LokiNet. Es ist ein solider Kompromiss zwischen Sicherheit und Handhabbarkeit. Das Handy-Problem: Und jetzt zum wichtigsten Punkt, der immer wieder ignoriert wird: Ich halte nichts von "Szene-Handys". Ein Handy ist per Definition ein tracking-fähiges Gerät, das permanent mit euch verbunden ist. Egal wie sicher die App ist, das underlying Betriebssystem (Android/iOS) ist eine Blackbox, die Daten an den Hersteller sendet. Eure Sicherheit wird dadurch extrem stark eingeschränkt. Ihr könnt die beste Verschlüsselung nutzen, aber wenn das OS selbst euren Standort, Kontakte und Nutzungsdaten protokolliert, war alles umsonst. Wenn es denn unbedingt ein anonymes Telefon sein muss, weil man mobil erreichbar sein muss, dann gibt es nur eine ernstzunehmende Option: Ein Google Pixel, auf dem man GrapheneOS installiert. Das ist das einzige mobile Betriebssystem, das auf harte Sicherheit und Privatsphäre ausgelegt ist und die Google-Infrastruktur komplett entfernt. Alles andere ist eine Gefahr für euch und eure Umgebung. Fazit & Strategie: Alltag & Koordination (80%): Telegram auf einem abgesicherten PC (Linux/Tails). Strikte Trennung von Kommunikation und kriminellen Inhalten. Keine Drops, keine Adressen, keine Beweise. Sensible Daten (20%): Ein separater, technisch sauberer Kanal wie ein eigener Jabber-Server oder Session. Nur für den kleinen, vertrauenswürdigen Kreis. Mobil / Ano Phones: Vermeiden. Wenn absolut nötig, dann nur mit einem dedizierten Gerät (Google Pixel + GrapheneOS), das für nichts anderes genutzt wird. Diese Strategie berücksichtigt die Realität in der Szene und bietet gleichzeitig einen maximalen Schutz für die wirklich kritischen Aspekte eurer Tätigkeit. Es geht nicht darum, den perfekten, unknackbaren Messenger zu finden, sondern darum, die Risiken intelligent zu managen.

Siracusa · 2025-11-28 18:23 #78405

Zusätzlich zu Jabber und Session sollten definitiv auch SimpleX (s. Whitepaper ) und ein reiner P2P-Messenger wie Tox erwähnt werden. In meinen Augen beide deutlich stärker als Jabber.

backagain · 2025-11-28 18:28 #78407

Jabber ist nicht mehr zeitgemäß, lieber anderes was auch open source ist, man kann ja nicht mal Bilder vernünftig versenden

Blockchain · 2025-11-28 18:29 #78408

Kommunikationskanäle sind nur so stark wie die Useranzahl dieser. Noch nie von denen gehört

lught · 2025-11-28 18:46 #78413

Wenn es aber nach mir ginge, würde ich die Kommunikation am liebsten komplett auf ein selbst gehostetes, stark verschlüsseltes System wie CryptPad oder PrivateBin für Notizen verlagern. Keine Messenger-Apps, keine permanenten Accounts, nur ein geteilter Link zu einer verschlüsselten Notiz, die nach dem Lesen vernichtet wird. Das ist aus meiner Sicht der sauberste Weg, um Informationen auszutauschen, die nicht für ewig in einem Chatverlauf bestehen sollen. die üblichen Verdächtigen auf diese Systeme zu bringen, ist eine andere Baustelle. Man kann hier nicht mit dem technisch optimalen Modell argumentieren, wenn 80% der Szene aus Leuten besteht, die nicht mal wissen, was ein Terminal ist. Deshalb ist dieser Thread auch für die Allgemeinheit gedacht. Es soll eine realistische Brücke schlagen zwischen dem, was technisch möglich ist, und dem, was in der Praxis tatsächlich angenommen wird. Es geht darum, den größten Teil der Szene von den größten und einfachsten Fehlern (wie dem unbedachten Umgang mit Telegram auf dem Handy) abzubringen.

Djoe · 2025-11-28 18:47 #78414

Zudem macht es Sinn das Pixel (Graphene) mit einem Mudi V2 und Glinet zu benutzen und die Sim kommt niemals ins Smartphone. Doppel Mullvad + Bluemerle

OpsecTV · 2025-11-30 00:46 #78659

Wie sieht es eigentlich mit einem stabilen Mailserver (irgendwas russisches) + PGP Mailclient aus ? Immerhin sind Mailserver das dezentralste überhaupt.

Notch · 2025-11-30 01:15 #78661

https://matrix.org/ecosystem/clients/element/ kurz: element ist ein client für das matrix-protokoll. dezentral, ende-zu-end verschlüsselt. läuft im browser oder als desktop-app. ähnlich wie telegram. kann man sich gut geben und das beste ist die gruppenfunktion, die auch die ende-zu-ende verschlüsselt ist.

ReinRaus · 2025-11-30 06:12 #78682

Session ist immer noch 1 zur Zeit Was uch mot einigen Händler mache Wor haben fake Accounts auf Lovoo u d solche flirt Apps Als tussis und schreiben da Seit 5Jahre drüber Aber auch mit temp.pm link dabei

Charade · 2025-12-09 11:15 #81126

Kleiner Tipp für die, die doch das neueste iPhone nutzen müssen: Wenn ihr die aktuelle iOS-Developer-Beta laufen habt, sind viele forensische Tools (z.B. Cellebrite) oft komplett aufgeschmissen und können keine FFS machen oder brute-forcen. Wenn das Gerät dann noch BFU ist, also aus war ist die Chance bei gleich null. Gilt aber nur für die neusten Modelle. Dann liegt es entweder ewig rum, oder es braucht ein Update und bei den Beta-Versionen kann das ewig dauern.

durex · 2025-12-09 12:56 #81151

Die erwischen dich im Auto/bei der Arbeit/im Restaurant und du hast nicht mal den Hauch einer Chance dein Handy auszuschalten. Schneller als du schauen kannst ist das Gerät in der Faraday-Bag und damit hat sich die Sache mit Fernlöschung/Auto-Reboot auch erledigt fuer iOS. Die Beta Version bringt dir dann auch nichts mehr. Die lassen das Handy solange rumliegen bis du verurteilt bist, was bei kleinen und mittelgroßen Verfahren gut und gerne mal mehrere Jahre dauern kann. Genügend Zeit um dein Handy im AFU zu entsperren. Cellebrite hat natürlich ein großes Interesse ihre Produkte aktuell zu halten und bewiesenermaßen sind die einer der besten auf ihrem Gebiet. VeraCrypt und Button-of-Death sollte Standart sein. Wer immernoch mit mobilen Geräten arbeitet, spielt mit dem Feuer.